To okno dialogowe służy do dodawania, edytowania, zmieniania priorytetu lub usuwania kombinacji algorytmów dostępnych dla wymiany kluczy podczas negocjacji w trybie głównym. Można określić więcej niż jedną kombinację algorytmów i przypisać kolejność wypróbowywania kombinacji. Używana będzie pierwsza kombinacja na liście zgodna z dwoma komputerami równorzędnymi.
Uwaga | |
Najlepszym rozwiązaniem jest umieszczenie kombinacji algorytmów w kolejności od najbezpieczniejszej (na początku) do najmniej bezpiecznej (na końcu). Zapewnia to użycie najbezpieczniejszego algorytmu wspólnego dla dwu negocjujących komputerów. Mniej bezpieczne algorytmy mogą być używane dla zapewnienia zgodności z poprzednimi wersjami. |
Jak uzyskać dostęp do tego okna dialogowego |
Na stronie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w obszarze Przegląd kliknij opcję Właściwości Zapory systemu Windows.
Kliknij kartę Ustawienia protokołu IPSec.
W obszarze Wartości domyślne IPsec kliknij przycisk Dostosuj.
W obszarze Wymiana kluczy (tryb główny) wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.
Metody zabezpieczeń
Metody zabezpieczeń stanowią kombinacje algorytmów integralności i algorytmów szyfrowania chroniących wymianę kluczy. Może istnieć dowolna liczba kombinacji i można je porządkować na liście w preferowanej kolejności. Kombinacje są wypróbowywane w kolejności ich wyświetlania. Wykorzystywany będzie pierwszy zestaw uzgodniony przez oba komputery równorzędne. Jeśli komputer równorzędny nie może użyć żadnej zdefiniowanej kombinacji, próba połączenia kończy się niepowodzeniem.
Niektóre algorytmy są obsługiwane tylko przez komputery, na których została zainstalowana ta wersja systemu Windows. Aby uzyskać więcej informacji, zobacz temat
Aby dodać do listy kombinację, kliknij przycisk Dodaj w celu użycia okna dialogowego Dodawanie lub edytowanie metody zabezpieczeń.
Aby zmienić kolejność na liście, wybierz kombinację, a następnie kliknij strzałki do górę lub w dół.
Uwaga | |
Najlepszym rozwiązaniem jest rozmieszczenie kombinacji w kolejności od najbezpieczniejszej na początku listy do najmniej bezpiecznej na końcu. Dzięki temu używana jest najbezpieczniejsza metoda obsługiwana przez oba komputery równorzędne. |
Okresy istnienia klucza
Ustawienia okresu istnienia klucza określają, kiedy generowany jest nowy klucz. Okresy istnienia kluczy pozwalają na wymuszenie ponownego wygenerowania klucza po upływie określonego czasu lub po użyciu bieżącego klucza do ochrony określonej liczby sesji. Korzystanie z wielu kluczy zapewnia, że nawet gdy osoba nieupoważniona zdoła złamać jeden klucz, przed wygenerowaniem nowego klucza i ponownym zabezpieczeniem ruchu sieciowego zostanie narażona tylko mała ilość danych. Można podać okres istnienia klucza zarówno w minutach, jak i w liczbie sesji. Klucz jest generowany ponownie po osiągnięciu pierwszego poziomu.
Uwaga | |
Regeneracja klucza dotyczy wyłącznie wymiany kluczy w trybie głównym. Te ustawienia nie mają wpływu na ustawienia okresu istnienia klucza dla ochrony danych w trybie szybkim. |
Minuty
To ustawienie służy do skonfigurowania (w minutach) okresu użycia klucza w skojarzeniach zabezpieczeń trybu głównego. Po tym okresie zostanie wygenerowany nowy klucz. W kolejnych sesjach trybu głównego jest używany nowy klucz.
Maksymalny okres istnienia to 2879 minut (48 godzin). Minimalny okres istnienia to 1 minuta. Zaleca się ponowne tworzenie klucza z częstotliwością nie większą niż wymagana przez analizę ryzyka. Zbyt częste ponowne tworzenie klucza może wpłynąć na wydajność.
Sesje
Sesja to oddzielny komunikat lub zestaw komunikatów chroniony przez skojarzenie zabezpieczeń trybu głównego. To ustawienie określa, ile sesji generowania klucza trybu głównego może być chronionych przy użyciu tych samych informacji o kluczu trybu głównego. Po osiągnięciu wartości progowej licznik jest zerowany i generowany jest nowy klucz. Kolejne procesy komunikacji będą używały nowego klucza. Maksymalna wartość to 2 147 483 647 sesji. Minimalna wartość to 0 sesji.
Jeśli limit liczby sesji zostanie ustawiony na wartość zero (0), generowanie nowego klucza zależy tylko od ustawienia Okres istnienia klucza (w minutach).
Należy zachować ostrożność w przypadku ustawiania znacznie różniących się okresów istnienia dla klucza trybu głównego i klucza trybu szybkiego. Na przykład ustawienie okresu istnienia klucza trybu głównego na osiem godzin i klucza trybu szybkiego na dwie godziny może spowodować, że skojarzenie zabezpieczeń trybu szybkiego będzie używane jeszcze przez prawie dwie godziny po wygaśnięciu skojarzenia zabezpieczeń trybu głównego. Zdarzy się tak, gdy skojarzenie zabezpieczeń trybu szybkiego zostanie wygenerowane tuż przed wygaśnięciem skojarzenia zabezpieczeń trybu głównego.
Ważne | |
Im większa jest liczba sesji dozwolonych dla jednego klucza trybu głównego, tym większe prawdopodobieństwo wykrycia klucza trybu głównego. Aby nie powtórzyło się to zbyt wiele razy, można ustawić limit odświeżania klucza trybu szybkiego. |
Uwaga dotycząca zabezpieczeń | |
Aby skonfigurować doskonałe utajnienie przekazywania trybu głównego (PFS), ustaw wartość opcji Okres istnienia klucza (w sesjach) na 1. Ta konfiguracja zapewnia istotne zwiększenie poziomu ochrony, powodując jednocześnie znaczny spadek wydajności obliczeniowej i sieciowej. Podczas każdej nowej sesji trybu głównego materiał klucza trybu głównego jest regenerowany, co z kolei powoduje ponowne uwierzytelnianie dwu komputerów. Zaleca się włączanie funkcji PFS tylko w środowiskach, w których ruch IPsec może być wystawiony na działanie osób atakujących o dużych umiejętnościach, które mogą podjąć próbę naruszenia silnej ochrony kryptograficznej zapewnianej przez protokół IPsec. |
Opcje wymiany kluczy
Używaj protokołu Diffie'go-Hellmana w celu uzyskania zwiększonych zabezpieczeń
System Windows Vista i nowsze wersje systemu Windows obsługują oprócz usługi Internet Key Exchange (IKE) także moduł Authenticated IP (AuthIP) umożliwiający ustanowienie wstępnego bezpiecznego połączenia, w którym pozostałe parametry protokołu IP są negocjowane. Usługa IKE używa wyłącznie wymian Diffie-Hellman. W przypadku używania modułu AuthIP protokół wymiany kluczy Diffie-Hellman nie jest wymagany. Zamiast tego, gdy żądane jest uwierzytelnianie za pomocą protokołu Kerberos w wersji 5, w miejsce wartości Diffie-Hellman jest używane utajnienie usługi protokołu Kerberos w wersji 5. Gdy jest żądane uwierzytelnianie certyfikatu lub uwierzytelnianie NTLM, zostaje ustanowiona sesja zabezpieczeń poziomu transportu (TLS) i utajnienie za jej pomocą jest używane w miejsce wartości Diffie-Hellman.
Po zaznaczeniu tego pola wyboru wymiana Diffie-Hellman jest dokonywana niezależnie od wybranego typu uwierzytelniania, a utajnienie Diffie-Hellman jest używane w celu zabezpieczenia pozostałych negocjacji protokołu IPsec. Tej opcji należy używać, gdy przepisy wymagają używania wymiany Diffie-Hellman.